物联网资产暴露情况—IPv6拿起接力棒
《2018物联网安全年报》中,我们对物联网资产的网络地址变化情况进行了分析,得到了物联网资产的实际暴露情况,年报第二章首先对去年的数据进行了更新。国内来看,暴露设备类型最多的是摄像头,其次是路由器,中国台湾暴露的物联网资产最多,约占国内总量的30%。
随着物联网应用的蓬勃发展、IPv4地址的耗尽,IPv6普及已成必然趋势,IPv6网络上暴露的物联网资产将成为攻击者的重点目标,所以能够对IPv6资产和服务准确的测绘,对于网络安全具有着重要的意义。报告中IPv6扫描方法进行了介绍,并对我们已经找到的物联网IPv6资产进行了分析,我们找到的暴露资产以IP电话和视频监控设备为主,虽然相比于IPv4暴露的数量并不多,但相信随着IPv6的普及,必将会有大量物联网资产暴露出来,需要引起相关机构的重视。
2019年国内物联网资产实际的暴露数量共有116万,其中暴露设备类型最多的是摄像头,暴露数量最多的地区是中国台湾。
如我们2018年《物联网安全年报》中所述,互联网上暴露的资产网络地址是不断变化的,使用历史数据来描绘暴露资产情况,会导致统计结果要高于实际暴露数量,所以某个地区实际的暴露数量,应在较短的时间测绘一个周期后,统计物联网资产数量更为准确。在2019年11月,我们对国内物联网资产常用端口进行测绘,共发现116万暴露的物联网资产,其中最多的是摄像头,暴露数量约56万。如图 1 所示。此外,我们发现中国台湾地区暴露的资产最多,占国内总量的30%左右。产生这个现象的主要原因是中国台湾分配到的IPv4地址数量较为充足,所以大量资产不需要做地址翻译连接互联网,故而暴露出来。
图1 2019年国内IPv4物联网资产实际暴露情况
报告还介绍了新加坡和日本的物联网资产实际暴露情况。日本暴露物联网资产总量约47万,新加坡暴露物联网资产总量约28万。日本物联网资产暴露情况相较于去年总量变化不大,新加坡的物联网资产暴露数量相比于去年增加了约40%,这个增长可能与近些年新加坡大力发展物联网应用有关。
IPv6的地址空间过大,IPv6地址数量是IPv4的296倍,如果以IPv4资产发现的方式,在全网段测绘IPv6资产,从时间开销和资源消耗上都是不切实际的;此外,目前IPv6地址使用的实际数量较少,并且地址分布的随机性较大,难有针对性的测绘策略发现某网络中存活的IPv6资产,这也无形增加了测绘难度。所以面向IPv4的地址测绘方法不适用于IPv6网络。
1已知IPv6地址集中发现物联网资产
我们找到一些可用的IPv6地址集合,通过对这些地址的测绘以及识别来发现物联网资产。使用的地址集合包括:Hitlist维护的存活IPv6地址,数量约有300万;绿盟威胁情报中心(NTI)中域名情报映射的IPv6地址集,数量约17亿。对物联网资产常用端口进行测绘,得到的物联网资产约有8万,最多的物联网资产类型是VoIP电话,共有70682个,其次是摄像头,共有13960个,最后是路由器,共有1549个。
对物联网资产端口分布情况进行统计,数量较多的主要是VoIP电话开放的5060端口和摄像头开放的554端口。物联网资产所在的国家分布情况如图 2 所示,物联网资产数量最多是德国,其次是荷兰和美国。
图2 发现的IPv6物联网资产国家分布情况
2基于IPv6地址生成特征启发式测绘
IPv6地址分布存在一些特点,比如部分地址位随机、MAC地址嵌入等,我们可以利用这些分布特性,加入一些测绘范围或限制条件,来降低IPv6地址测绘地址空间。利用MAC地址嵌入的生成规则,以及IEEE提供的厂商ID对照表,就可以通过测绘指定IPv6址区间内某个厂商的地址来缩小测绘范围,进而缩短测绘时间。因为提供了6位厂商MAC ID以及4位的FFFE,测绘的随机的地址位从16位下降到6位,要测绘的地址数量就从264-1个下降到218-1,大大缩短了测绘时长。此外,MAC嵌入型的地址测绘,还有助于发现物联网设备的IPv6地址。通过输入物联网智能设备厂商的MAC,测绘存活地址大概率就是物联网设备。或者通过提取MAC嵌入地址中的MAC地址,并匹配厂商信息,有助于对资产的设备类型进行识别。
3基于UPnP双栈服务的启发式测绘
除了上述的使用地址组成特征测绘的方法以外,还可以利用UPnP服务发现IPv6物联网资产。UPnP是用来实现局域网中各类设备互通互连的协议集合,但因为错误配置,很多UPnP服务暴露在互联网上。我们利用这个协议的一些特性,就可以发现一些暴露的、同时运行IPv4和IPv6双栈服务的物联网资产。对全球1900端口的IPv4资产进行分析,去重后发现全球的双栈资产数量为27,642个,其中有27,150个是MAC嵌入型地址。双栈资产数量最多的地区是中国,共有15,538个资产,需要说明的是,其中中国台湾的数量就有15,296个;其次是越南,共有5,372个资产。
图3 通过UPnP发现的双栈资产的地理位置分布
根据亚太互联网络信息中心(Asia-Pacific Network Information Center,APNIC)提供的IPv6使用率来看,中国台湾的IPv6地址使用比例为43.35%,排在全球第七位(截止2019年12月1日)。此外,从过去两年暴露资产数据得知,中国台湾物联网资产暴露数量也是相对较多的。所以中国台湾的双栈资产数量如此多,可能和这两点原因有关。
我们发现的双栈地址几乎都是MAC地址嵌入型,所以可以先解析IPv6地址中的MAC,再通过MAC地址的厂商ID号,就可以查询到相关的厂商信息。对MAC地址做去重处理后,共有11,606个设备,具体的厂商分布情况如图 4 所示,几乎都是物联网厂商的设备,其中物联网厂商A的暴露数量最多。
图 4 发现的双栈资产厂商分布情况
本文只对《物联网安全年报2019》中的部分章节进行解读,更详尽的关于物联网资产的描述,请点击阅读原文。
格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们